当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > FCKeditor.Net_2.2安全修正版

ASP.NET
asp.net Server.MapPath方法注意事项
asp.net下常用的加密算法MD5、SHA-1应用代码
几个 ASP.NET 小技巧
ASP.NET内置对象之Application对象
ASP.NET使用正则表达式屏蔽垃圾信息
asp.net“服务器应用程序不可用” 解决方法
asp.net Linq把数据导出到Excel的代码
asp.net ext treepanel 动态加载XML的实现方法
silverlight2.0Beta版TextBox输入中文解决方法
asp.net转出json格式客户端显示时间
asp.net下Linq To Sql注意事项小结
ASP.NET动态加载用户控件的实现方法
asp.net web大文件上传带进度条实例代码
asp.net DZ论坛中根据IP地址取得所在地的代码
向asp.Net进发 数据库连接操作
.net 上传文件前所未有的简单
asp.net gridview代码绑定
asp.net中List的使用方法
Asp.net(C#)实现验证码功能代码
asp.NET开发中正则表达式中BUG分析

ASP.NET 中的 FCKeditor.Net_2.2安全修正版


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-11   浏览: 222 ::
收藏到网摘: n/a

FCKeditor为一开源多功能在线Web编辑器。官方网站:http://www.fckeditor.net/
相关安全文件参看:
《在.net中使用Fckeditor》 http://cliffever.cnblogs.com/archive/2006/05/09/395134.aspx
《FCKeditor 實戰技巧》http://www.ruanchen.com/"http://www.lvjiyong.com/item/fckeditor-safe" target=_blank>http://www.lvjiyong.com/item/fckeditor-safe

=======================
FCKeditor 安全问题(只指.Net_2.2版)
上传文件格式验证不严格(只客户端验证)。
FCKeditor目录没有设验证权限。
多余上传文件漏洞。

解决方法:
可以查看修改过的FCKeditor.Net_2.2。
站点下的FCKeditor目录进行安全设置,只允许制定用户角色的用户访问。
将站点下不使用的多余上传文件删除。参看实例testFCKeditor。
FCKeditor.Net_2.2修改部分:
1、FileWorkerBase.cs 添加上传文件扩展名验证函数与属性部分。
使用方法跟设置UserFilesPath类似。
Application["FCKeditor:UploadDeniedExtensions"]
Session["FCKeditor:UploadDeniedExtensions"]
System.Configuration.ConfigurationSettings.AppSettings["FCKeditor:UploadDeniedExtensions"]
可以参看实例testFCKeditor。
UserFilesPath属性配置部分"FCKeditor:UserFilesPath"可以设置成"虚拟站点目录"(类似与修改后的BasePath设置)。
2、Uploader.cs
3、FileBrowserConnector.cs
以上两文件增加对上传文件类型的验证。
4、FCKeditor.cs 文件BasePath属性默认为"~/FCKeditor/" 。
注:
FredCK.FCKeditorV2.dll配件为DotNet 2.0配件。
本修改部分在ASP.NET 2.0下调试通过。
下载文件 下载此文件